SandStrike: la nuova campagna di cyber spionaggio Android sfrutta un’app VPN

Iricercatori di Kaspersky hanno rilevato una nuova campagna di cyber spionaggio Android, ribattezzata SandStrike. Nel mirino sono i Baháʼí, una minoranza religiosa di lingua persiana, ma le caratteristiche del malware fanno sì che il rischio sia elevato per tutti gli utenti del sistema operativo mobile e ci insegnano che non dobbiamo mai abbassare la guardia perché le cyber minacce sono sempre più subdole e sofisticate.

I cyber criminali, infatti, distribuiscono un’app VPN che contiene uno spyware molto sofisticato.

“Ci troviamo dinanzi ad una nuova campagna di spionaggio”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “operata presumibilmente da un attore nation-state nei confronti di una minoranza etnica o di un particolare gruppo di individui di interesse specifico per un governo”. Ecco come è stata preparata questa trappola particolarmente efficace.

SandStrike: sui social la campagna di spionaggio Android

Per indurre le vittime a scaricare lo spyware (SandStrike), gli attaccanti hanno realizzato account Facebook e Instagram con oltre mille follower. Hanno creato sui social media contenuti grafici a sfondo religioso, per convincere le vittime a cliccare su un link a un canale Telegram, messo a punto dagli attaccanti.

I cyber criminali distribuiscono una finta app VPN: un’applicazione all’apparenza innocua che consente l’accesso a siti proibiti in alcune regioni, per esempio per motivazioni religiose.

“Negli scorsi anni abbiamo osservato numerose campagne con caratteristiche simili”, ricorda Paganini, “si pensi egli attacchi perpetrati contro esponenti della popolazione Uiguri dalla Cina”.

Inoltre, i criminal hacker hanno creato anche una propria infrastruttura VPN per far funzionare l’app. Tuttavia, il client VPN contiene uno spyware che vanta funzionalità per raccogliere e rubare dati sensibili. Attraverso l’app fake, gli attaccanti si impossessano anche dei registri delle chiamate e degli elenchi dei contatti, oltre a tracciare ogni altra attività svolta dagli utenti colpiti.

“Il livello di sofisticazione del malware usato nella campagna in oggetto non deve sorprenderci”, conclude Pagani, “e dimostra l’interesse degli attaccanti nel raccogliere informazioni sui target. In passato attori che operavano per conto di governi hanno utilizzato persino custom malware e zero-day exploit per colpire queste categorie di target che purtroppo sono indifesi contro offensive così sofisticate”.

Come proteggersi

Per difendersi da questi vettori d’attacco, è necessario scaricare le app solo dai marketplace ufficiali.

Inoltre, occorre non cliccare mai su link inviati via social, WhatsApp o e-mail. In generale, bisogna rafforzare la consapevolezza, per minimizzare i rischi legati al fattore umano. Lavorando sull’awareness e sulla formazione, è possibile evitare di cadere in queste efficaci trappole.

Conviene usare una soluzione di Endpoint Detection and Response (EDR) di livello aziendale per rilevare le minacce grazie all’opzione automatica di raggruppamento degli avvisi in incidenti, oltre ad analizzare e rispondere a questi eventi nel modo più efficiente.

Oltre a proteggere efficacemente gli endpoint, bisogna applicare una soluzione di sicurezza di fascia Enterprise, per rilevare tempestivamente le minacce avanzate a livello di rete.

“Oggi è facile distribuire malware attraverso i social network e rimanere inosservati per diversi mesi o anche di più. Per questo è importante essere sempre prudenti, assicurarsi di essere informati sulle minacce e di avere gli strumenti giusti per proteggersi da quelle esistenti ed emergenti”, ha dichiarato Victor Chebyshev, Lead Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

FONTE: cybersecurity360